[u클린2015]<8> 한글판 랜섬웨어에 모바일판까지, 주의보
최근 스마트폰을 노린 새로운 공격 방식 '랜섬웨어'가 화제다. PC 공격에서 시작해 스마트폰으로 영역을 확장한데다 한글판 랜섬웨어도 발견돼 사용자 주의가 요구된다.
랜섬웨어는 납치된 사람에 대한 몸값을 뜻하는 랜섬(Ransom)과 소프트웨어(software)의 합성어다. 스마트폰 정보를 원격에서 조정해 잠근 후 사용자에게 돈을 요구하는 모바일 랜섬웨어가 안드로이드 폰을 중심으로 퍼지고 있다. 스마트폰에 주요 정보를 저장하는데 반해 보안이 PC보다 약한 점을 노린 것.
카스퍼스키랩에 따르면 트로이목마 랜섬웨어 악성 코드가 모든 모바일 위협 중에서 가장 가파른 성장세를 보이고 있다. 1분기에 탐지된 새로운 사례만 1113건. 이는 이제까지 수집된 총 건수보다 65%나 증가한 수치다. 랜섬웨어 일종인 크립토락커는 수만대 컴퓨터를 감염시켜 수백만 달러의 수익을 올린 것으로 알려졌다.
랜섬웨어는 모바일판은 물론 한글판도 발견되는 등 다양하게 변형·확대되는 추세다. 4월 중순경 최초로 발견된 한글 랜섬웨어는 최근 새로운 확장자(.bwp, .xws, .wbs, .rjs, .psp 등)로 변형돼 다시 기승을 부리기도 했다.
해커는 스마트폰 에 악성 앱(애플리케이션)을 설치해 다른 앱 정보를 암호화하고 난 후 스마트폰 화면에 사용자를 향한 메시지를 띄운다. 스마트폰 기기모델명, IMEI, 전화번호, 국가 정보 등을 표시하고 불법 저작권과 관리법을 위반했으니 벌금을 내라는 식의 내용이 자주 발견된다. 돈을 내면 차단을 해제해주겠다고 말하지만 보안전문가들은 입금하지 말 것을 당부한다. 공격자가 복호화해준다는 보장이 없기 때문.
모바일 랜섬웨어에 걸리면 일단 스마트폰을 '안전모드'로 부팅해 '기기관리자(휴대폰 관리자)'를 비활성화 후 삭제하는 것이 좋다. 랜섬웨어에 감염된 스마트폰은 대부분 사용자 제어가 어렵기 때문에 이러한 방법을 사용한다. 제조사별로 안전모드에 접근하는 방법이 달라 각 회사에 정확한 순서를 알아봐야한다.
예를 들어 LG전자 스마트폰은 전원버튼으로 전원끄기 메뉴를 길게 누르면 되고, 삼성전자 제품은 부팅 시 통신사 로고가 나오고 '메뉴' 버튼에 불이 들어올 때 그 버튼을 누르고 있으면 안전모드로 부팅된다.
독자들의 PICK!
이후에는 '설정-기기관리자(휴대폰 관리자)' 메뉴에서 랜섬웨어에 활용된 악성앱을 비활성화하고 해당 앱을 제거하면 필요한 조치가 끝난다.